Pertanyaan OpenWRT: konfigurasi jaringan dasar


Baru saja menginstal OpenWRT 12.09 di router saya, tetapi menjadi sedikit bingung tentang antarmuka / jembatan / vlans. My router

Setelah boot pertama saya, saya masuk dan mengatur kata sandi root saya, jadi saya menggunakan Luci untuk mengaktifkan Wi-Fi saya, dan membawa saya sedikit untuk mengetahui bahwa saya dapat menjembatani Wi-Fi dengan LAN untuk mendapatkan akses ke internet. Tapi saya berakhir dengan dua masalah:

  1. Alamat DHCP disediakan oleh ISP saya (yang buruk karena saya harus membayar biaya tambahan untuk setiap IP)
  2. Saya tidak dapat memblokir akses SHH dari Internet / WAN, jadi router saya agak rentan.

Bagaimana seharusnya saya mengkonfigurasi — lebih disukai oleh Luci — untuk melakukan hal berikut:

  • DHCP disediakan oleh router ini ke perangkat Internal saya, dengan penyelesaian DNS
  • Alamat eksternal saya (LAN / eth0) disediakan oleh modem ISP (jadi saya tidak bisa memblok port 68 sederhana di antarmuka ini)
  • Konfigurasi antarmuka saya dengan benar sehingga saya dapat mengizinkan SSH hanya pada antarmuka internal (WAN / radio0)

Yang mana dan mengapa saya harus memilih menggunakan bridge atau VLAN? Ini artikel, tidak menjelaskannya, atau memberikan petunjuk apa pun.


Beberapa catatan:  - Saya pengguna Gentoo Linux, jadi saya menganggap diri saya seorang pembelajar yang baik, tetapi belum menemukan referensi yang bagus untuk OpenWRT.  - Perangkat saya TP-Link TL-MR3020 dengan cara itu hanya memiliki satu antarmuka LAN / eth0 dan satu wirelss / radio0 satu.

Memperbarui: Berikut ini beberapa file konfigurasi saya untuk ditinjau; tl; dr

Ini adalah file '/ etc / config / dhcp' saya

config dnsmasq
        option domainneeded '1'
        option boguspriv '1'
        option filterwin2k '0'
        option localise_queries '1'
        option rebind_protection '1'
        option rebind_localhost '1'
        option local '/lan/'
        option domain 'lan'
        option expandhosts '1'
        option nonegcache '0'
        option authoritative '1'
        option readethers '1'
        option leasefile '/tmp/dhcp.leases'
        option resolvfile '/tmp/resolv.conf.auto'

config dhcp 'lan'
        option interface 'lan'
        option start '100'
        option leasetime '12h'
        option limit '15'

config dhcp 'wan'
        option interface 'wan'
        option ignore '1'

Ini adalah file '/ etc / config / network' saya

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config interface 'lan'
        option ifname 'eth0'
        option type 'bridge'
        option proto 'static'
        option gateway '192.168.100.1'
        option dns '192.168.100.1'
        option ipaddr '192.168.100.2'
        option netmask '255.255.255.0'

Ini adalah file / etc / config / wireless saya

config wifi-device 'radio0'
        option type 'mac80211'
        option macaddr '64:66:b3:4d:8b:ce'
        option hwmode '11ng'
        option htmode 'HT20'
        list ht_capab 'SHORT-GI-20'
        list ht_capab 'SHORT-GI-40'
        list ht_capab 'RX-STBC1'
        list ht_capab 'DSSS_CCK-40'
        option txpower '27'
        option country 'US'
        option channel 'auto'

config wifi-iface
        option device 'radio0'
        option network 'lan'
        option mode 'ap'
        option ssid 'EDITED'
        option encryption 'psk-mixed'
        option key 'EDITED'

6
2018-04-15 17:07


asal




Jawaban:


Tampaknya Anda melakukan semua konfigurasi di baris perintah.

Saya telah mencoba OpenWRT sebelumnya dan saya telah menginstal WebGUI untuk membantu, Anda bisa merujuk ke LuCI Essentials untuk mengatur Antarmuka Pengguna Web oleh LuCI. Akses melalui peramban web untuk mengonfigurasi perute seperti mengaktifkan SSH dan mengatur beberapa konfigurasi lain akan lebih mudah melalui UI Web.

Edit 1.

Jadi, Anda memiliki 3 pertanyaan, saya memisahkannya dan mencoba untuk menandai solusi satu per satu agar mudah dimengerti. Satu hal harus menyatakan bahwa, sejak Router saya berubah dari OpenWRT menjadi DDWRT dan kemudian berubah menjadi Tomato. Jadi saya menggunakan VM (Virtual Machine) untuk penulisan layar dan tulisan solusi. Tolong maafkan jika ada 1 atau 2 perbedaan sedikit poin. Saya pikir itu sama sebagian besar kasus, karena saya menggunakan VM untuk mencoba OpenWRT sebelum saya mem-flash ke router saya.

Persiapan: (jika Anda belum melakukannya), LuCi akan diakses kemudian ketika router Anda dikonfigurasi agar dapat diakses oleh mesin jaringan area lokal. Diekstrak dari LuCI Essentials

Instal LuCi dengan mengikuti perintah

opkg update
opkg install luci # without https OR
opkg install luci-ssl # with https support
/etc/init.d/uhttpd start # Start the web server (uHTTPd) manually
/etc/init.d/uhttpd enable # if you wish to start automatically on reboot

1. Alamat eksternal saya (lan / eth0) disediakan oleh modem ISP (jadi saya tidak bisa memblok port 68 sederhana di antarmuka ini) Saya kira Anda bermaksud untuk mendapatkan alamat eksternal, kan? Sebenarnya, ketika Anda men-setup router untuk mendapatkan DHCP dari ISP Anda (modem) maka alamat eksternal Anda akan muncul di LuCi nanti.

Pengaturan ini harus melakukan pekerjaan:

vim /etc/config/network # edit network settings
save

#add the following lines to config
config 'interface' 'wan' # config the interface wan
        option 'proto' 'dhcp' # use protocol DHCP
        option 'ifname' 'eth1' # Physical interface name to assign to, this should be the network port connected to the your ISP modem, may vary eth1 or eth0 or whatever in your case

>>>command
ifup wan # bring WAN interface up

Hingga titik ini, ketika Anda membuka komputer klien Anda seperti Windows 7, buka browser, ketik 192.168.100.1 (kasus Anda), maka Anda akan melihat antarmuka OpenWRT di browser. Kata sandi tidak ada secara default.

Sesuatu seperti layar ini:

enter image description here

2. DHCP disediakan oleh router ini ke perangkat internal saya, dengan menyelesaikan nama perangkat (DNS)

Ketika Anda dapat terhubung ke router Anda melalui browser komputer klien, Anda dapat pergi ke Network -> Hostnames untuk menetapkan nama host secara manual ke perangkat tertentu jika perangkat tersebut tidak memiliki nama host atau tidak diselesaikan secara otomatis. (dalam kasus saya, default tidak memiliki masalah)

3. Konfigurasikan antarmuka saya dengan benar sehingga saya dapat mengizinkan ssh hanya pada antarmuka internal (wan / radio0)

Menurut Dokumen Akses Aman di OpenWRT

"Dengan membiarkan dropbear server SSH dan web-Server tidak uhttpd   dengarkan di port eksternal / WAN "

Berikut cara melakukannya:

vim /etc/config/dropbear
save

# add the following line to your dropbear
option Interface 'lan' # only listen to lan

>>>command
/etc/init.d/dropbear restart # or reboot if it doesn't work

Saya pikir ini harus menggambarkan gambar solusi untuk pertanyaan Anda.


1
2018-04-16 03:11



Yang pasti saya sudah membaca LuCI Essentials, sebenarnya saya sudah katakan sebelumnya bahwa saya lebih suka seseorang membantu saya untuk membuat konfigurasi oleh LuCI (paragraf ketiga) dan bahwa saya mengkonfigurasi jembatan oleh LuCI (yang kedua) dapatkah Anda membantu saya untuk memahami apa yang harus saya lakukan dengan antarmuka saya, untuk mencapai tujuan saya yang terarah? - Rafareino
Meskipun tautan ini dapat menjawab pertanyaan, sebaiknya sertakan bagian penting dari jawaban di sini dan berikan tautan sebagai referensi. Hanya tautan jawaban yang dapat menjadi tidak valid jika laman yang ditautkan berubah. - Raystafarian
Silakan tambahkan informasi dari tautan Anda ke jawaban Anda, karena jika situs itu offline, jawabannya tidak akan berguna. - Christian Woerz
Maaf untuk jawaban saya yang terlalu pendek. Biarkan saya melihat bagaimana mengilustrasikan jawaban lebih mudah. @Raystafarian dan c0dev, terima kasih untuk menunjukkan, diakui. Akan melakukannya secepatnya setelah besok karena sudah terlambat bagi saya di sini karena perbedaan waktu. - simongcc
Wow, hasil edit Anda tampaknya sangat membantu, tetapi saya harus menunggu beberapa hari (sampai akhir liburan brazilian) untuk mendapat kesempatan mencoba. Akan posting lebih banyak setelah itu, tetapi tampaknya sangat baik sekarang. Terima kasih. - Rafareino